Вьетконговские похитители
Исследователи в области кибербезопасности обнаружили новый вредоносный код на основе Python, предназначенный для кражи информации, получивший название VVS Stealer (также продающийся под торговой маркой VVS $tealer). Эта угроза специально разработана для сбора учетных данных и токенов аутентификации Discord, что делает ее еще одним участником растущей экосистемы вредоносных программ для кражи данных. Имеются данные, свидетельствующие о том, что вредоносная программа рекламировалась для продажи в Telegram с апреля 2025 года.
Оглавление
Агрессивный маркетинг и необычно низкие цены
VVS Stealer, рекламируемый в Telegram-каналах как «лучший воришка», позиционируется как недорогой вариант для киберпреступников. Он предлагается по нескольким тарифным планам, от недорогой еженедельной подписки до пожизненной лицензии, что делает его одним из самых доступных воришек, доступных в настоящее время на подпольных рынках.
Вероятный источник и профиль угрожающего субъекта
Согласно разведывательным данным, опубликованным в конце апреля 2025 года, предполагается, что VVS Stealer разработан франкоязычным злоумышленником. Сообщается, что лицо или группа, стоящие за этим проектом, активно участвуют в нескольких сообществах Telegram, связанных с разработкой и распространением программ-похитителей, включая группы, связанные с Myth Stealer и Eyes Stealer.
Маскировка как ключевая стратегия уклонения
Исходный код вредоносной программы сильно обфусцирован с помощью PyArmor, фреймворка защиты на Python, разработанного для усложнения статического анализа и обнаружения на основе сигнатур. Хотя PyArmor имеет законное коммерческое применение, авторы вредоносных программ все чаще злоупотребляют им, чтобы скрыть вредоносную логику и задержать усилия по обратному проектированию.
Распределение, исполнение и сохранение
VVS Stealer распространяется в виде исполняемого файла, упакованного с помощью PyInstaller, что позволяет запускать его как автономный исполняемый файл Windows. После запуска он обеспечивает постоянное присутствие, копируя себя в каталог автозагрузки Windows, гарантируя автоматический запуск после каждой перезагрузки системы. Чтобы обмануть жертв, вредоносная программа отображает поддельные всплывающие окна с сообщением «Фатальная ошибка», предлагающие пользователям перезагрузить компьютеры, маскируя свою фоновую активность.
Возможности кражи данных
После выполнения атаки злоумышленник собирает из скомпрометированной системы широкий спектр конфиденциальной информации, включая:
- Токены Discord и данные, связанные с учетной записью.
- Данные браузеров на основе Chromium и Firefox, такие как файлы cookie, история просмотров, сохраненные пароли и данные автозаполнения.
- Скриншоты, сделанные с зараженного устройства.
- Внедрение вредоносного ПО в Discord и перехват сессий
Помимо обычной кражи учетных данных, VVS Stealer использует методы внедрения кода в Discord для захвата активных пользовательских сессий. Сначала он принудительно завершает любой запущенный процесс Discord. Затем вредоносная программа извлекает обфусцированную JavaScript-полезную нагрузку с удаленного сервера. Этот скрипт использует протокол Chrome DevTools Protocol (CDP) для мониторинга сетевого трафика, что позволяет перехватывать сессии и в режиме реального времени перехватывать учетные данные после перезапуска Discord.
Более широкие последствия для безопасности
VVS Stealer подчеркивает сохраняющуюся тенденцию в разработке современного вредоносного ПО: сочетание доступности Python с продвинутой обфускацией для создания скрытых и устойчивых угроз. По мере того, как злоумышленники совершенствуют эти методы, защитники сталкиваются с растущими трудностями в обнаружении и анализе, что подчеркивает необходимость поведенческого мониторинга и проактивного анализа угроз, а не опоры только на статические сигнатуры.
